Sujet Précédent Sujet Suivant

Win32:DNSChanger-VT [Trj]

Fermé
Aergal - 11 juil. 2008 à 22:51
 Aergal - 27 août 2008 à 03:39
Bonjour,

depuis quelques temps avast me trouve ces virus : Win32:DNSChanger-VT [Trj] dont je n'arrive pas a me debarasser. N'etant pas tres doué en informatique j'apprécierais que quelqu'un de plus éclairé m'explique comment faire pour me debarasser de cette saletée. je vous joint une copie du rapport hijack this :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:43:26, on 11/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\system32\afinding.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\Nobicyt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\perfs.exe
C:\WINDOWS\system32\routing.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wserving.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Freeplayer\vlc\vlc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AFinding Service (AFinding) - Unknown owner - C:\WINDOWS\system32\afinding.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\WINDOWS\system32\Nobicyt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\WINDOWS\system32\perfs.exe
O23 - Service: Routing Service (Routing) - Unknown owner - C:\WINDOWS\system32\routing.exe
O23 - Service: WServing Service (WServing) - Unknown owner - C:\WINDOWS\system32\wserving.exe

46 réponses

Précédent
Réponse 21 / 46
Aergal
21 juil. 2008 à 08:24
bon, décollage... on verra la suite dans 3 semaines :)

Merci et à bientot.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
21 juil. 2008 à 11:01
bon séjour et profites un max ^^

Tchouss !!!
0
Réponse 22 / 46
Aergal
18 août 2008 à 19:15
SAlut, de retour de vacance (hélas)... je te poste le premier rapport celui de otmoveit :

< [HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df­}] >
File/Folder [HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df­}] not found.
File/Folder not found.
C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job moved successfully.
File/Folder C:\Program Files\ErrorSmart not found.
File/Folder C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08182008_190355

pour scan file je doit surement le faire mal car a chaque fois que je copie ue ligne et que je clique sur envoyer, il me pond un page blanche avec ecrit 0 bytes envoyés, un truc comme ça...
0
Réponse 23 / 46
Aergal
18 août 2008 à 19:17
plus precisement il me repond :

0 bytes size received / Se ha recibido un archivo vacio
0
Réponse 24 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 août 2008 à 19:26
Salut,

Pour voir un peu où on en est depuis ..

1- On va supprimer Combofix ( version obselette maintenant ) :

-->Cliques sur " Démarrer ( ou combine la touche Windows + R ) -> " Executer " -> copie/colle cette ligne :

ComboFix /u

( laisses l'espace entre Combofix et /u )

-->Valides .


2- Refais un coup de CCleaner ( registre compris )


3- Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide .

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Attention :
--> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
--> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
--> si un message d'erreur windows apparait à un momment : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 46
Aergal
18 août 2008 à 19:44
Ok merci :)

alors 1er rapport, combo fix :

ComboFix 08-08-17.05 - Nico 2 2008-08-18 19:37:46.8 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1644 [GMT 2:00]
Endroit: C:\Documents and Settings\Nico 2\Bureau\C-Fix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-07-18 to 2008-08-18 ))))))))))))))))))))))))))))))))))))
.

2008-08-18 19:30 . 2008-08-18 19:30 <REP> d-------- C:\ComboFix
2008-08-18 18:54 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-08-18 18:54 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-08-18 18:54 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-08-18 03:16 . 2008-08-18 03:16 268 --ah----- C:\sqmdata00.sqm
2008-08-18 03:16 . 2008-08-18 03:16 244 --ah----- C:\sqmnoopt00.sqm
2008-08-18 00:18 . 2008-08-18 00:18 <REP> d-------- C:\Program Files\Windows Live Toolbar
2008-08-18 00:18 . 2008-08-18 00:18 <REP> d-------- C:\Program Files\Windows Live Favorites
2008-08-18 00:14 . 2008-08-18 00:14 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2008-08-18 00:12 . 2008-08-18 00:12 <REP> d-------- C:\Documents and Settings\Nico 2\Contacts
2008-08-18 00:11 . 2008-08-18 00:11 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-08-18 00:05 . 2008-08-18 00:17 <REP> d-------- C:\Program Files\Windows Live
2008-08-18 00:05 . 2008-08-18 00:10 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-08-18 00:05 . 2008-08-18 00:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-15 19:49 --------- d-----w C:\Program Files\Trend Micro
2008-07-15 14:29 52,401,304 ----a-w C:\Sauv.reg
2008-07-14 14:28 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\dvdcss
2008-07-12 15:56 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-07-12 15:56 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\Malwarebytes
2008-07-12 15:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-11 19:29 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\vlc
2008-07-11 19:17 --------- d-----w C:\Program Files\Freeplayer
2008-07-11 16:09 --------- d-----w C:\Program Files\Brother
2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-07-11 16:08 --------- d-----w C:\Program Files\Common Files
2008-07-11 16:07 --------- d-----w C:\Program Files\ScanSoft
2008-07-11 16:07 --------- d-----w C:\Program Files\Fichiers communs\ScanSoft Shared
2008-07-11 16:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\ScanSoft
2008-07-11 16:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield
2008-07-11 16:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Brother
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 15:35 34,296 ----a-w C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-07 15:35 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-07-05 15:19 --------- d-----w C:\Program Files\Creative
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Contr“leur d'‚tat.lnk - C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe [2008-07-11 18:09:11 802816]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}]
\Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\Shell\configure\command - D:\SETUP.EXE
\Shell\install\command - D:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-08-17 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
.
------- Supplementary Scan -------
.
O8 -: &Windows Live Search - C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 -: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
C:\WINDOWS\Downloaded Program Files\oscan8.inf
C:\WINDOWS\bdoscandellang.ini
C:\WINDOWS\bdoscandel.exe
C:\WINDOWS\Downloaded Program Files\live.ini
C:\WINDOWS\Downloaded Program Files\scanoptions.tsi
C:\WINDOWS\Downloaded Program Files\lang.ini
C:\WINDOWS\Downloaded Program Files\ipsupd.dll
C:\WINDOWS\Downloaded Program Files\bdupd.dll
C:\WINDOWS\Downloaded Program Files\libfn.dll
C:\WINDOWS\Downloaded Program Files\bdcore.dll
C:\WINDOWS\Downloaded Program Files\oscan8.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-18 19:38:45
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-18 19:39:40
ComboFix-quarantined-files.txt 2008-08-18 17:39:34
ComboFix2.txt 2008-07-20 22:17:22

Pre-Run: 65,920,745,472 octets libres
Post-Run: 65,912,758,272 octets libres

132 --- E O F --- 2008-08-18 01:50:42


2nd rapport, hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:06, on 18/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 26 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 août 2008 à 19:50
Ok ...

1-Fermes toutes tes applications et déconnectes toi .

Relances Hijackthis mais click sur " Do a scan only "
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide .
Tu vas cliquer sur les carrés des lignes suivantes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Tu cliques en bas sur le bouton FIX CHECKED et valides .


2- Télécharges RavAntivirus d'Evosla sur ton bureau :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

! Déconnectes toi et fermes toutes tes applications en cours !

!!IMPORTANT : Si tu as une clé USB, disque dur externe, etc, branches-les à ton PC (sans les ouvrir) avant de lancer ce FIX !!

--->Fais un clic droit sur le fichier .ZIP : "Extraire tout" --> sur le Bureau

Puis doucle-cliques sur RAV.exe afin de lancer l'outil.

Une fois RAV ANTIVIRUS lancé, laisses le faire : il scanne automatiquement tout les lecteurs (disques dur et amovibles)

* Si il détecte une infection : un rapport s'établira --> sauvegardes le ...
* Sinon le soft affichera (rapidement) ce-ci "Votre Ordinateur est sain" --> dans ce cas , tu peux fermé le prg ...

Enfin ,tu retires tes disques amovibles et redémarres PC .

Puis postes le rapport si il y a infection ...
0
Réponse 27 / 46
Aergal
18 août 2008 à 21:49
Bon c'est fait... l'icone est restée sur "votre ordinateur est sain" ce qui j'espere est plutot satisfaisant :)
0
Réponse 28 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 août 2008 à 21:53
Ok ....

Comment va le PC ? Encore des soucis ?


puis fais ce-ci pour contrôler :

Si tu ne l'as plus sur ton PC ,
Télécharge DiagHelp.zip sur ton bureau :
( note : si ton anti-virus s'affolle lors du téléchargement ou de l'installe, c'est normal , ignore l'alerte ).

-> http://www.malekal.com/download/DiagHelp.zip

!! déconnectes toi et fermes toutes tes applications en cours !!

Fais un clic droit sur le fichier et extraire tout .

--> Un nouveau dossier va être créé : "DiagHelp"
Ouvres le et double-clic sur go.cmd et pas sur autre chose ! (le .cmd peut ne pas apparaître )

--> Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera :
une page IE va s'ouvrir , fermes la .
Re-appuis sur une touche, le bloc-note s'ouvre :
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...
0
Réponse 29 / 46
Aergal
19 août 2008 à 00:07
ok merci, pour l'ordi il a l'air d'aller bien, je lancerais un scan d'avast cette nuit voir s'il trouve autre chose... je te met le rapport :

DiagHelp version v1.4 - http://www.malekal.com
excute le 18/08/2008 à 23:59:33,28


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->18/08/2008 23:59:30
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->18/08/2008 23:59:30
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->18/08/2008 23:59:05
C:\WINDOWS\prefetch\MSN_SL.EXE-18A18BC5.pf -->18/08/2008 23:58:02
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->18/08/2008 23:52:10
C:\WINDOWS\prefetch\MSNTBUP.EXE-0D913FB9.pf -->18/08/2008 23:52:00
C:\WINDOWS\prefetch\WLLOGINPROXY.EXE-2D4B6027.pf -->18/08/2008 21:49:27
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->18/08/2008 21:49:17
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->18/08/2008 21:42:36
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->18/08/2008 21:42:16

C:\WINDOWS\System32\drivers\mbamcatchme.sys -->07/07/2008 17:35:36
C:\WINDOWS\System32\drivers\mbam.sys -->07/07/2008 17:35:30
C:\WINDOWS\System32\drivers\tcpip.sys -->20/06/2008 12:45:13
C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008 12:44:38
C:\WINDOWS\System32\drivers\tcpip6.sys -->20/06/2008 11:52:06
C:\WINDOWS\System32\drivers\bthport.sys -->14/06/2008 19:59:52
C:\WINDOWS\System32\drivers\aswSP.sys -->16/05/2008 01:20:32

C:\WINDOWS\System32\wpa.dbl -->18/08/2008 21:39:09
C:\WINDOWS\System32\TZLog.log -->18/08/2008 03:01:29
C:\WINDOWS\System32\PerfStringBackup.INI -->18/08/2008 00:17:29
C:\WINDOWS\System32\perfh00C.dat -->18/08/2008 00:17:29
C:\WINDOWS\System32\perfh009.dat -->18/08/2008 00:17:29
C:\WINDOWS\System32\perfc00C.dat -->18/08/2008 00:17:29
C:\WINDOWS\System32\perfc009.dat -->18/08/2008 00:17:29
C:\WINDOWS\System32\MRT.exe -->05/08/2008 11:11:02
C:\WINDOWS\System32\tzchange.exe -->14/07/2008 13:09:18
C:\WINDOWS\System32\CONFIG.NT -->11/07/2008 21:46:20
C:\WINDOWS\System32\brss01a.ini -->11/07/2008 18:10:49
C:\WINDOWS\System32\brsvc01a.bsi -->11/07/2008 18:10:48
C:\WINDOWS\System32\bridf05a.dat -->11/07/2008 18:09:24
C:\WINDOWS\System32\es.dll -->07/07/2008 22:31:48
C:\WINDOWS\System32\mscms.dll -->24/06/2008 18:23:56
C:\WINDOWS\System32\mshtml.dll -->24/06/2008 10:28:24
C:\WINDOWS\System32\wininet.dll -->23/06/2008 18:28:23
C:\WINDOWS\System32\webcheck.dll -->23/06/2008 18:28:23
C:\WINDOWS\System32\urlmon.dll -->23/06/2008 18:28:23
C:\WINDOWS\System32\url.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\pngfilt.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\occache.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\mstime.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\msrating.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\mshtmled.dll -->23/06/2008 18:28:22

C:\WINDOWS\setupapi.log -->18/08/2008 23:58:32
C:\WINDOWS\WindowsUpdate.log -->18/08/2008 23:00:01
C:\WINDOWS\wiadebug.log -->18/08/2008 21:38:55
C:\WINDOWS\0.log -->18/08/2008 21:38:55
C:\WINDOWS\wiaservc.log -->18/08/2008 21:38:53
C:\WINDOWS\bootstat.dat -->18/08/2008 21:38:37
C:\WINDOWS\SchedLgU.Txt -->18/08/2008 21:37:35
C:\WINDOWS\system.ini -->18/08/2008 19:38:44
C:\WINDOWS\NeroDigital.ini -->18/08/2008 01:26:22
C:\WINDOWS\Sti_Trace.log -->20/07/2008 23:07:55
C:\WINDOWS\BRWMARK.INI -->11/07/2008 18:10:50
C:\WINDOWS\BRPP2KA.INI -->11/07/2008 18:10:50
C:\WINDOWS\ODBC.INI -->22/04/2008 16:04:26
C:\WINDOWS\win.ini -->22/04/2008 16:04:09
C:\WINDOWS\WMSysPr9.prx -->22/04/2008 14:57:14

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1624
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x44080000 0xd0000 7.00.6000.16705 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16705 C:\WINDOWS\system32\iertutil.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16705 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x127000 7.00.6000.16705 C:\WINDOWS\system32\urlmon.dll
0x442b0000 0x3c000 7.00.6000.16705 C:\WINDOWS\system32\webcheck.dll
0x10000000 0x8000 1.00.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
0x01470000 0x2c000 C:\Program Files\WinRAR\rarext.dll
0x01fb0000 0x202000 3.02.0003.0000 C:\Program Files\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll
0x781d0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80.DLL
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll
0x5d360000 0xf000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\MFC80FRA.DLL
0x74da0000 0x6c000 5.30.0023.1228 C:\WINDOWS\system32\RICHED20.dll
0x01d40000 0x3e000 3.02.0003.0000 C:\Program Files\Nero\Nero8\Nero BackItUp\NBShell.dll
0x782e0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80U.DLL
0x64f00000 0x12000 4.08.1201.0000 C:\Program Files\Alwil Software\Avast4\ashShell.dll
0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
0x03330000 0x1b8000 3.01.0000.0008 C:\Program Files\Fichiers communs\Nero\Lib\NeroDigitalExt.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL
0x36d30000 0x19000 11.00.5510.0000 C:\PROGRA~1\MICROS~2\OFFICE11\MCPS.DLL

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 692
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x01220000 0x3b000 1.07.0018.0007 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll


Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 502A-6592

Répertoire de C:\WINDOWS\system32

19/08/2004 17:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 65 861 996 544 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 502A-6592

Répertoire de C:\WINDOWS\Downloaded Program Files

21/07/2008 00:12 <REP> .
21/07/2008 00:12 <REP> ..
22/04/2008 13:49 65 desktop.ini
25/07/2002 17:13 24 576 dwusplay.dll
25/07/2002 17:13 196 608 dwusplay.exe
24/03/2008 19:33 1 527 056 FP_AX_CAB_INSTALLER.exe
16/10/2003 13:55 299 008 isusweb.dll
16/03/2005 12:34 7 407 lang.ini
13/02/2008 17:55 130 live.ini
11/02/2008 09:39 1 864 OnlineScanner.inf
29/10/2007 16:45 1 244 oscan8.inf
14/03/2005 14:58 7 073 scanoptions.tsi
24/03/2008 19:18 247 swflash.inf
11 fichier(s) 2 065 278 octets

Total des fichiers listés :
11 fichier(s) 2 065 278 octets
2 Rép(s) 65 861 992 448 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"HideLegacyLogonScripts"=dword:00000000
"HideLogoffScripts"=dword:00000000
"RunLogonScriptSync"=dword:00000001
"RunStartupScriptSync"=dword:00000000
"HideStartupScripts"=dword:00000000
"DisableRegistryTools"=dword:00000000



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-18 23:59:43
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
420 - ctfmon.exe
664 - MDM.EXE
668 - csrss.exe
692 - winlogon.exe
736 - services.exe
748 - lsass.exe
904 - svchost.exe
964 - svchost.exe
1060 - svchost.exe
1088 - nvsvc32.exe
1124 - svchost.exe
1176 - svchost.exe
1236 - svchost.exe
1616 - ashServ.exe
1624 - explorer.exe
1952 - spoolsv.exe
1968 - brss01a.exe
2056 - ashMaiSv.exe
2092 - ashWebSv.exe
2556 - alg.exe
2916 - cmd.exe

Total number of processes = 22
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806CE000 - \WINDOWS\system32\hal.dll
BADA8000 - \WINDOWS\system32\KDCOM.DLL
BACB8000 - \WINDOWS\system32\BOOTVID.dll
BA778000 - ACPI.sys
BADAA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
BA767000 - pci.sys
BA8A8000 - isapnp.sys
BA8B8000 - ohci1394.sys
BA8C8000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
BAE70000 - pciide.sys
BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
BA8D8000 - MountMgr.sys
BA748000 - ftdisk.sys
BADAC000 - dmload.sys
BA722000 - dmio.sys
BAB30000 - PartMgr.sys
BA8E8000 - VolSnap.sys
BA70A000 - atapi.sys
BA6F3000 - nvata.sys
BA8F8000 - disk.sys
BA908000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
BA6D3000 - fltMgr.sys
BA6C1000 - sr.sys
BA6AA000 - KSecDD.sys
BA61D000 - Ntfs.sys
BA5F0000 - NDIS.sys
BA5D5000 - Mup.sys
BAAA8000 - \SystemRoot\system32\DRIVERS\nic1394.sys
BAAB8000 - \SystemRoot\system32\DRIVERS\processr.sys
BAB70000 - \SystemRoot\system32\DRIVERS\usbohci.sys
B97A6000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BAB78000 - \SystemRoot\system32\DRIVERS\usbehci.sys
B9575000 - \SystemRoot\system32\drivers\ALCXWDM.SYS
B9551000 - \SystemRoot\system32\drivers\portcls.sys
BAAC8000 - \SystemRoot\system32\drivers\drmk.sys
B952E000 - \SystemRoot\system32\drivers\ks.sys
BAAD8000 - \SystemRoot\system32\DRIVERS\cdrom.sys
BAAE8000 - \SystemRoot\system32\DRIVERS\redbook.sys
BAAF8000 - \SystemRoot\system32\DRIVERS\imapi.sys
BAD90000 - \SystemRoot\system32\DRIVERS\nvnetbus.sys
B94EE000 - \SystemRoot\system32\DRIVERS\NVNRM.SYS
B94BB000 - \SystemRoot\system32\DRIVERS\NVSNPU.SYS
B8DA3000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
B8D8F000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
BAB88000 - \SystemRoot\system32\DRIVERS\fdc.sys
B8D7E000 - \SystemRoot\system32\DRIVERS\serial.sys
BAD94000 - \SystemRoot\system32\DRIVERS\serenum.sys
B8D6A000 - \SystemRoot\system32\DRIVERS\parport.sys
BAEA6000 - \SystemRoot\system32\drivers\msmpu401.sys
BAD98000 - \SystemRoot\system32\DRIVERS\gameenum.sys
BAEA7000 - \SystemRoot\system32\DRIVERS\audstub.sys
BA938000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BAD9C000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B8D53000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
BA948000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
B9AC5000 - \SystemRoot\system32\DRIVERS\raspptp.sys
BAB90000 - \SystemRoot\system32\DRIVERS\TDI.SYS
B8D42000 - \SystemRoot\system32\DRIVERS\psched.sys
B9AB5000 - \SystemRoot\system32\DRIVERS\msgpc.sys
BAB98000 - \SystemRoot\system32\DRIVERS\ptilink.sys
BABA0000 - \SystemRoot\system32\DRIVERS\raspti.sys
B8D11000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
B9AA5000 - \SystemRoot\system32\DRIVERS\termdd.sys
BABA8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
BABB0000 - \SystemRoot\system32\DRIVERS\mouclass.sys
BADC8000 - \SystemRoot\system32\DRIVERS\swenum.sys
B8CDD000 - \SystemRoot\system32\DRIVERS\update.sys
BA5A1000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
B9809000 - \SystemRoot\system32\DRIVERS\usbhub.sys
BADD2000 - \SystemRoot\system32\DRIVERS\USBD.SYS
B1AD1000 - \SystemRoot\System32\Drivers\NDProxy.SYS
B3798000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
BAE6A000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
B3B77000 - \SystemRoot\System32\Drivers\Null.SYS
BAE6C000 - \SystemRoot\System32\Drivers\Beep.SYS
B228D000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
B2285000 - \SystemRoot\System32\drivers\vga.sys
BAE6E000 - \SystemRoot\System32\Drivers\mnmdd.SYS
BADAE000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
B227D000 - \SystemRoot\System32\Drivers\Msfs.SYS
B2275000 - \SystemRoot\System32\Drivers\Npfs.SYS
B13D7000 - \SystemRoot\system32\DRIVERS\rasacd.sys
AD73B000 - \SystemRoot\system32\DRIVERS\ipsec.sys
AD6E3000 - \SystemRoot\system32\DRIVERS\tcpip.sys
B1A91000 - \SystemRoot\System32\Drivers\aswTdi.SYS
AD6BB000 - \SystemRoot\system32\DRIVERS\netbt.sys
AD699000 - \SystemRoot\System32\drivers\afd.sys
B1A81000 - \SystemRoot\system32\DRIVERS\netbios.sys
AD66E000 - \SystemRoot\system32\DRIVERS\rdbss.sys
AD5FF000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
B0F19000 - \SystemRoot\System32\Drivers\Fips.SYS
AD5DE000 - \SystemRoot\system32\DRIVERS\ipnat.sys
B0F09000 - \SystemRoot\system32\DRIVERS\wanarp.sys
B0EF9000 - \SystemRoot\system32\DRIVERS\arp1394.sys
B226D000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
B2265000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
AF998000 - \SystemRoot\system32\DRIVERS\hidusb.sys
B0EE9000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
AF990000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
AF98C000 - \SystemRoot\system32\DRIVERS\mouhid.sys
A8CC3000 - \SystemRoot\System32\Drivers\aswSP.SYS
A9D35000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
A9828000 - \SystemRoot\System32\Drivers\Cdfs.SYS
A8CAC000 - \SystemRoot\System32\Drivers\dump_nvata.sys
BAE02000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
AA273000 - \SystemRoot\System32\drivers\Dxapi.sys
A9D0D000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
B1CE0000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\nv4_disp.dll
B225D000 - \SystemRoot\system32\DRIVERS\aswFsBlk.sys
B86DF000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
A8250000 * --[Hidden]--
A814B000 - \SystemRoot\system32\drivers\wdmaud.sys
B7F13000 - \SystemRoot\system32\drivers\sysaudio.sys
A7F8F000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
B223D000 - \SystemRoot\System32\Drivers\ParVdm.SYS
A7EED000 - \SystemRoot\system32\DRIVERS\srv.sys
A7D09000 - \SystemRoot\System32\Drivers\aswRdr.SYS
A7BB4000 - \SystemRoot\System32\Drivers\HTTP.sys
A6F8B000 - \SystemRoot\system32\drivers\kmixer.sys
A9868000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 124

Liste des programmes installes

Adobe Flash Player ActiveX
Archiveur WinRAR
Assistant de connexion Windows Live
avast! Antivirus
Brother MFL-Pro Suite
CCleaner (remove only)
Correctif pour Windows Internet Explorer 7 (KB947864)
Correctif pour Windows XP (KB952287)
Correctif Windows XP - KB873339
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB888302
Correctif Windows XP - KB890859
Correctif Windows XP - KB891781
Creative WebCam Instant Driver (1.01.02.0729)
ESET Online Scanner
Extension de Windows Live Toolbar (Windows Live Toolbar)
Freeplayer
HijackThis 2.0.2
Hotfix for Windows XP (KB915865)
LG Internetkit
LG PhoneManager
LG SyncManager
LG USB Modem driver
Malwarebytes' Anti-Malware
Menus intelligents (Windows Live Toolbar)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft XML Parser
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923789)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924496)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933729)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB937894)
Mise à jour de sécurité pour Windows XP (KB941202)
Mise à jour de sécurité pour Windows XP (KB941568)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB941644)
Mise à jour de sécurité pour Windows XP (KB941693)
Mise à jour de sécurité pour Windows XP (KB943055)
Mise à jour de sécurité pour Windows XP (KB943460)
Mise à jour de sécurité pour Windows XP (KB943485)
Mise à jour de sécurité pour Windows XP (KB944653)
Mise à jour de sécurité pour Windows XP (KB945553)
Mise à jour de sécurité pour Windows XP (KB946026)
Mise à jour de sécurité pour Windows XP (KB946648)
Mise à jour de sécurité pour Windows XP (KB947864)
Mise à jour de sécurité pour Windows XP (KB948590)
Mise à jour de sécurité pour Windows XP (KB948881)
Mise à jour de sécurité pour Windows XP (KB950749)
Mise à jour de sécurité pour Windows XP (KB950760)
Mise à jour de sécurité pour Windows XP (KB950762)
Mise à jour de sécurité pour Windows XP (KB950974)
Mise à jour de sécurité pour Windows XP (KB951066)
Mise à jour de sécurité pour Windows XP (KB951376-v2)
Mise à jour de sécurité pour Windows XP (KB951698)
Mise à jour de sécurité pour Windows XP (KB951748)
Mise à jour de sécurité pour Windows XP (KB952954)
Mise à jour de sécurité pour Windows XP (KB953839)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB908531)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB911280)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB932823-v3)
Mise à jour pour Windows XP (KB938828)
Mise à jour pour Windows XP (KB942763)
Mise à jour pour Windows XP (KB951072-v2)
MP3 Player Recovery Tool
MSXML 4.0 SP2 (KB936181)
Nero 8
neroxml
NVIDIA Drivers
PaperPort
Realtek AC'97 Audio
Surligneur (Windows Live Toolbar)
VCRedistSetup
WebFldrs XP
Windows Genuine Advantage Notifications (KB905474)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Favorites pour Windows Live Toolbar
Windows Live installer
Windows Live Mail
Windows Live Messenger
Windows Live Toolbar
Windows Live Toolbar
Windows Live Writer
Windows Media Format Runtime



Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 502A-6592

Répertoire de C:\Program Files

18/08/2008 00:18 <REP> .
18/08/2008 00:18 <REP> ..
22/04/2008 14:44 <REP> Alwil Software
22/04/2008 17:45 <REP> AvRack
11/07/2008 18:09 <REP> Brother
05/05/2008 20:00 <REP> CCleaner
11/07/2008 18:08 <REP> Common Files
22/04/2008 13:45 <REP> ComPlus Applications
05/07/2008 17:19 <REP> Creative
05/05/2008 19:55 <REP> EsetOnlineScanner
18/08/2008 19:38 <REP> Fichiers communs
25/04/2008 22:04 <REP> Free
11/07/2008 21:17 <REP> Freeplayer
18/08/2008 03:01 <REP> Internet Explorer
23/05/2008 20:45 <REP> LG Electronics
23/05/2008 20:45 <REP> LG PC Suite
12/07/2008 17:56 <REP> Malwarebytes' Anti-Malware
18/08/2008 03:01 <REP> Messenger
22/04/2008 13:50 <REP> microsoft frontpage
22/04/2008 16:03 <REP> Microsoft Office
18/08/2008 00:14 <REP> Microsoft SQL Server Compact Edition
22/04/2008 16:03 <REP> Microsoft Visual Studio
22/04/2008 13:46 <REP> Movie Maker
22/04/2008 13:44 <REP> MSN
22/04/2008 13:45 <REP> MSN Gaming Zone
24/04/2008 18:21 <REP> MSXML 4.0
22/04/2008 14:58 <REP> Nero
22/04/2008 13:47 <REP> NetMeeting
22/04/2008 13:45 <REP> Online Services
22/04/2008 15:45 <REP> Outlook Express
22/04/2008 17:45 <REP> Realtek Sound Manager
11/07/2008 18:07 <REP> ScanSoft
22/04/2008 13:49 <REP> Services en ligne
15/07/2008 21:49 <REP> Trend Micro
18/08/2008 00:17 <REP> Windows Live
18/08/2008 00:18 <REP> Windows Live Favorites
18/08/2008 00:18 <REP> Windows Live Toolbar
22/04/2008 15:45 <REP> Windows Media Player
22/04/2008 13:45 <REP> Windows NT
28/04/2008 20:36 <REP> WinRAR
22/04/2008 13:50 <REP> xerox
0 fichier(s) 0 octets
41 Rép(s) 65 849 532 416 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 502A-6592

Répertoire de C:\Program Files\fichiers communs

18/08/2008 19:38 <REP> .
18/08/2008 19:38 <REP> ..
22/04/2008 16:03 <REP> DESIGNER
11/07/2008 18:08 <REP> InstallShield
18/08/2008 00:10 <REP> Microsoft Shared
22/04/2008 13:47 <REP> MSSoap
22/04/2008 14:59 <REP> Nero
22/04/2008 15:38 <REP> ODBC
11/07/2008 18:07 <REP> ScanSoft Shared
22/04/2008 13:47 <REP> Services
22/04/2008 15:38 <REP> SpeechEngines
22/04/2008 16:03 <REP> System
0 fichier(s) 0 octets
12 Rép(s) 65 849 532 416 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 502A-6592

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

22/04/2008 16:03 <REP> .
22/04/2008 16:03 <REP> ..
22/04/2008 16:03 <REP> 1033
22/04/2008 16:03 <REP> 1036
11/07/2003 10:15 1 292 872 MSONSEXT.DLL
15/07/2003 06:52 35 896 MSOSV.DLL
03/06/1999 12:09 122 937 MSOWS409.DLL
07/03/2001 07:00 127 033 MSOWS40c.DLL
11/07/2003 02:25 80 448 PKMWS.DLL
5 fichier(s) 1 659 186 octets
4 Rép(s) 65 849 532 416 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 502A-6592

Répertoire de C:\Program Files\common files

11/07/2008 18:08 <REP> .
11/07/2008 18:08 <REP> ..
11/07/2008 18:08 <REP> InstallShield
0 fichier(s) 0 octets
3 Rép(s) 65 849 528 320 octets libres


Attention : C:\autorun.inf existe


c:\Documents and Settings\Nico 2\Bureau\C-Fix.exe
c:\Documents and Settings\Nico 2\Bureau\dss.exe
c:\Documents and Settings\Nico 2\Bureau\OTMoveIt2.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCCHKID.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCRMV.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCRMV9X.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCUPD.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCXDEV.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ChCfg.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\GETDXVER.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\SetCDfmt.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Setup.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\AvRack2.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\MPIE4STD.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\Mpstd.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\RtlRack.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\WDM\RTLCPL.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\WDM\SoundMan.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\WinNT4\SoundMan.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\A8N-SLI.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\setup.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\Ethernet\nvunrm.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\Ethernet\NAM\NAMSetup.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\pataraid\nvuide.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\raidtool\NvRaidMan.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\raidtool\nvraidservice.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\raidtool\NvSataConnection.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\sataraid\nvuide.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\sata_ide\nvuide.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\SATA\SATA.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\SMBus\nvusmb.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Nero\DrWeb\Drweb32.dll
c:\Documents and Settings\Nico 2\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_PC-CHAMBRE.tar.gz a l'adresse http://upload.malekal.com
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
19 août 2008 à 00:12
Le log est propre ...

A demain et si tout est ok , on finalise ... =)
0
Réponse 30 / 46
Aergal
19 août 2008 à 01:19
cool je lance le scan... merci pour tout :)
0
Réponse 31 / 46
Aergal
19 août 2008 à 02:43
Bon résultat :

1er virus :

Nom du fichier : C:\Documents and Settings\Nico 2\Bureau\DiagHelp\FilesInfoCmd.exe
Nom du logiciel malveillant : Win32:Trojan-gen {Other}
Type de logiciel malveillant : Virus/Ver
Version VPS : 080818-0, 18/08/2008

2ieme virus :

Nom du fichier : C:\Documents and Settings\Nico 2\Bureau\DiagHelp.zip\DiagHelp\FilesInfoCmd.exe
Nom du logiciel malveillant : Win32:Trojan-gen {Other}
Type de logiciel malveillant : Virus/Ver
Version VPS : 080818-0, 18/08/2008

3ieme virus :

Nom du fichier : C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP12\A0004572.exe
Nom du logiciel malveillant : Win32:Trojan-gen {Other}
Type de logiciel malveillant : Virus/Ver
Version VPS : 080818-0, 18/08/2008

4ieme virus :

Nom du fichier : C:\WINDOWS\system32\cexwxfst.sys
Nom du logiciel malveillant : Win32:Trojan-gen {Other}
Type de logiciel malveillant : Virus/Ver
Version VPS : 080818-0, 18/08/2008

5ieme virus :

Nom du fichier : C:\WINDOWS\system32\mtsycod.sys
Nom du logiciel malveillant : Win32:Rootkit-gen [Rtk]
Type de logiciel malveillant : Rootkit
Version VPS : 080818-0, 18/08/2008

Voila, plus que 5 virus :) j'ai coché à chaque fois mettre en quarantaine.
0
Réponse 32 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
19 août 2008 à 10:33
Salut,

Supprimes tout ce qu'il peut avoir dans la quarantaine d'Avast ( via celle-ci )


Puis fais ce-ci :

Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe
----> Enregistre le sur ton bureau .

( Si ton AntiVirus s'affolle , ignore l'alerte )

Double clique sur l'icone OAD pour le lancer

- nom du fichier à rechercher --->tape ou fais un copier coller de : cexwxfst
- Type de recherche : sélectionne l'option 6 puis valide ["entrée"]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

- Sauvegardes ce rapport sur ton Bureau et fais un copier / coller de celui-c dans ton prochain post.

Puis recommences avec :
mtsycod


j'attends donc ces deux rapports ....
0
Réponse 33 / 46
Aergal
19 août 2008 à 14:38
bon alors j'ai vidé la quarantaine, par contre pour oad, tout ce que j'obtient quand je le double click c'est :

"C:\Documents and Settings\Nico 2\Bureau\OAD.exe

windows ne parvient pas à acceder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut
être pas des autorisations appropriées pour avoir accès à l'élément."

et si je réessaye de double cliquer aprés dessus ça ne fait rien.
0
Réponse 34 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
19 août 2008 à 15:53
Ok ... Es tu dans une session " administrateur " ou dans une session " invité " ?
0
Réponse 35 / 46
Aergal
19 août 2008 à 19:42
session "nico 2" qui est normalement administrateur... mais quand je me connecte en mode sans echec j'ai une session administrateur en plus de la session "nico2"... j'ai donc essayé avec cette session et bingo ça marche... pour bien faire faudrais que j'utilise tout le temps cette session, sauf que je n'y ai acces qu'en mode sans echec... bon les rapports :

cexwxfst :

19/08/2008 ---- 19:23:15,43

----------------------------------
§§§§§§ [cexwxfst ] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

mtsycod :

19/08/2008 ---- 19:35:21,64

----------------------------------
§§§§§§ [mtsycod] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0
Réponse 36 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
19 août 2008 à 19:44
peux - tu réessayer en mode sans échec mais dans ta session habituelle stp ...
0
Réponse 37 / 46
Aergal
19 août 2008 à 20:26
bon ben ca marche aussi... du coup ça devais pas etre une histoire de session, mais bien de le faire en mode sans echec... je te met les resultats :

cexwxfst :

19/08/2008 ---- 20:20:00,28

----------------------------------
§§§§§§ [cexwxfst] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

mtsycod :


19/08/2008 ---- 20:18:48,82

----------------------------------
§§§§§§ [mtsycod] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0
Réponse 38 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
19 août 2008 à 20:30
bien ... les rapports sont vierges ^^

Voilà la suite pour vérifier :

mets à jour Malwarebytes .

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec :
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan ) et supprimes tout ce qu'il peut trouver :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...
0
Réponse 39 / 46
Aergal
19 août 2008 à 21:05
malaware... 4 objets trouvé et supprimés :

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 5.1.2600 Service Pack 2

21:00:53 19/08/2008
mbam-log-08-19-2008 (21-00-53).txt

Type de recherche: Examen complet (C:\|E:\|G:\|)
Eléments examinés: 88878
Temps écoulé: 13 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\poof (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Nico 2\Bureau\OAD.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nico 2\Mes documents\OAD.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP13\A0004917.exe (Adware.Agent) -> Quarantined and deleted successfully.

Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:14, on 19/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 40 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
19 août 2008 à 21:12
très bien ... rien d'alarmant ...

fais ce qui suit dans l'ordre :

A-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\).

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé .

Puis enfin supprimes Toolscleaner2 ...

B- Refais un coup de CCleaner ( registre compris )


C- un check up :
( étape 1 à faire de suite ! et le reste dès que tu peux mais ne tardes pas trop ;) )

1-Restauration système
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC


2-Nettoyage et Défragmentation de tes Disques
*Nettoyage :
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
Cliques sur le bouton "nettoyage de disque", OK
tu le fais pour chacun de tes disques

*Vérifications des erreurs :
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases :
-réparer automatiquement les erreurs...
-rechercher et tenter une récupération...
--->Démarrer, ok
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal
tu le fais pour chacun de tes disques

ensuite toujours dans le même onglet tu choisis :
*Défragmentation :
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK
tu le fais pour chacun de tes disques


une fois terminé , dis moi ce que cela a donné ...
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses